复杂系统中的弹性:应对挑战与机遇
复杂系统的特性
复杂系统的复杂性及其行为是整体定义的,仅从单个组成组件的行为中很难了解全貌。以医疗保健领域为例,急诊科常因财务和运营压力下的管理变革而变得脆弱,在面临超出其已知安全容量的“累积或级联需求”时,其弹性降低。不过,系统中的人类能够通过更加努力工作、调整策略和寻找额外资源等方式,使系统在更大需求下“伸展”,避免单个故障累积导致整个系统崩溃。
在网络安全行业,趋势是组件化,关注单个组件和特定环境。然而,这种基于组件的关注方式限制了对安全各部分与其他组件之间关系的理解,而这些组件共同塑造了系统的运行方式。攻击者会利用系统组件之间的相互关系,进行“横向移动”攻击;而传统的防御者则从单个组件或其连接是否安全的角度来考虑安全问题,缺乏系统知识,容易被攻击者利用。
例如,SolarWinds 事件中,俄罗斯外国情报局(SVR)通过寻找目标系统的共同组件和子系统,利用 SolarWinds 的 Orion 平台获取联邦机构和财富 500 强公司的访问权限,体现了攻击者对系统整体关系的利用。
此外,组织使用技术还涉及经济和社会因素,如收入和利润目标、补偿方案结构、关键绩效指标、员工绩效期望、行为奖惩等。这些因素常被传统企业网络安全计划忽视,但它们也会产生漏洞,降低组织对失败的弹性。
失败的定义与本质
失败指系统(包括涉及的人员和业务流程)未按预期运行。在网络安全中,安全程序未实现安全目标、API 滥用导致用户数据泄露、拒绝服务攻击违反服务级别协议等都属于失败情况。
失败是不可避免的,追求“完美安全”或要求永不发生安全事件往往会导致失败。安全失败并非由单一因素造成,而是多
超级会员免费看
订阅专栏 解锁全文

747

被折叠的 条评论
为什么被折叠?



